SSH Fernwartung, wie sollte ich es umsetzen?

[hobbyadmin]

Moin!
Seit ich meine erweiterte Familie Stück für Stück mit Linux versorge, wird von Zeit zu Zeit etwas Hilfe in Form von Fernwartung notwendig.
Ich verwende dazu am liebsten SSH. Da die Leute aber keine festen IP-Adressen haben, möchte ich einen kleinen Remote-Server aufsetzen, zu dem die ganzen Clients einen Remote-SSH-Tunnel aufbauen können. Ich möchte dann über den kleinen Remote-Server auf diese Clients zugreifen. Meine ersten Testaufbauten haben auch reibungslos funktioniert : )

Jetzt meine Frage:
Sollte ich für jeden Client ein eigenes Benutzer-Konto auf dem Remote-Server einrichten?
Oder sollte ich nur ein Konto (z.B. "Fernwartung") auf dem Remote-Server einrichten und lediglich unterschiedliche Ports für den Remote-SSH-Tunnel nehmen?
Was ist aus Eurer Sicht sicherer?

Noch zur Klarstellung:
Auf dem Remote-Server befinden sich nur die SSH-Pub-Keys der Clients und natürlich mein SSH-Pub-Key. Keine weiteren Daten.

[MSfree]

Da die Leute aber keine festen IP-Adressen haben, möchte ich einen kleinen Remote-Server aufsetzen, zu dem die ganzen Clients einen Remote-SSH-Tunnel aufbauen können.

Warum so kompliziert. Es gibt diverse DynDNS-Dienste, bei denen man seine aktuelle IP-Adresse registrieren kann. So ein Dienst läßt sich in jedem Plastikrouter, den jeder zuhause hat, konfigurieren. Man muß dann im Plastikrouter nur ein Portforwarding für den SSH-Port auf einen beliebigen Linuxrechner im LAN einrichten. Dann kann man auch die Leute erreichen, die keine feste IP-Adresse haben. (Problematisch sind nur die kastrierten Internetanschlüsse mit Dual-Stack-Light, die haben nach aussen nur eine IPv6-Adresse).

Sollte ich für jeden Client ein eigenes Benutzer-Konto auf dem Remote-Server einrichten?

Warum nicht? Das ist ja kein großer Aufwand.

[Tintom]

Was ist aus Eurer Sicht sicherer?

Ich würde anders anfangen: Was sind die Gegebenheiten? Gibst du von einem festen Ort aus Unterstützung oder bist du oft unterwegs und daher hinter verschiedenen Routern? Falls ersteres: Unterstützt dein Internetprovider eingehenden Datenverkehr (Stichwort: CGNAT)?

[heisenberg]

Ferdinand Thommes von linuxnews.de hat vor kurzem rustdesk in den Raum geworfen: Eine OSS Remote Desktop Lösung bzw. Teamviewer-Alternative. Hat sich vielversprechend angehört. Ich habe es noch nicht ausprobiert.

[hobbyadmin]

Danke für Eure Tipps!
Ich werde dann für jeden Client einen separaten Benutzer für SSH auf dem Remote-Server einrichten. Hört sich auch für mich sicherer an.
Andere Fernwartungs-Tools verwende ich auch aber bei einigen Leuten sind die DSL-Verbindungen so krötenlangsam, dass es echt eine Qual ist. So kam ich ja erst auf die Idee mit SSH.
Also: ich werde beides verwenden, je nach lokalen Gegebenheiten.

Ich wünsche Euch allen einen schönen Tag!

[uname]

@hobbyadmin
Vielleicht wäre meine Lösung was für dich: viewtopic.php?t=138442
Du musst aber etwas Richtung tmux-Lösung scrollen.

[wrohr]

Ferdinand Thommes von linuxnews.de hat vor kurzem rustdesk in den Raum geworfen: Eine OSS Remote Desktop Lösung bzw. Teamviewer-Alternative. Hat sich vielversprechend angehört. Ich habe es noch nicht ausprobiert.

Wollte nur sagen, danke für den Hinweis. Habe Rustdesk gerade mit einigen Notebooks getestet, funktioniert super und ist noch schneller und einfacher als Teamviewer. Mal sehen wie es sich in der Praxis bewährt.

grüsse
wrohr

[hobbyadmin]

Oh ja,
auch von mir Danke für den Hinweis auf rustdesk. Das kannte ich auch noch nicht.
Werde ich auch mal bei den langsamen DSL-Verbindungen testen : )